Edit Article PHP5.5.8/5.4.28対応 PHPセキュリティ保守サービス パッチ配布開始
PHPセキュリティ保守サービスとは、メンテナンスが終了したPHPを安全に利用するパッチを提供するサービスです。PHP 5.3/5.2/5.1/4.4/4.3に対応しています。
PHP5.5.8/5.5.7/5.4.23/5.4.24/5.3.28の脆弱性に対応したパッチセットを公開しました。これらのリリースには以下の脆弱性が報告されています。
- Exif:
- Fixed bug #65873 (Integer overflow in exif_read_data()).
- OpenSSL:
- Fixed memory corruption in openssl_x509_parse() (CVE-2013-6420). (Stefan Esser).
- Fixed handling null bytes in subjectAltName (CVE-2013-4073).
Fixed bug #65873 (Integer overflow in exif_read_data()).
この脆弱性修正はCVE-2011-4566の修正が不十分であった問題に対応しています。CVE-2011-4566の解説ページではPHP 5.4以降に影響するとされていますが実際には、exifサポートする全てのPHPに影響します。PHP開発チームへのレポートでは細工をしていない画像でのクラッシュバグとして処理されています。元の脆弱性のCVSS Exploitability Subscoreが10(最大)である点を考慮し、弊社ではセキュリティパッチとして提供しました。
パッチ提供PHP: 4.3/4.4/5.1/5.2
CVSS Severity (version 2.0):
CVSS v2 Base Score:6.4 (MEDIUM) (AV:N/AC:L/Au:N/C:P/I:N/A:P) (legend)
Impact Subscore: 4.9
Exploitability Subscore: 10.0
CVSS Version 2 Metrics:
Access Complexity: LowAccess Vector: Network exploitable
Authentication: Not required to exploit
Impact Type:Allows unauthorized disclosure of information; Allows disruption of service
Fixed memory corruption in openssl_x509_parse() (CVE-2013-6420). (Stefan Esser).
CVE-2013-6420は不正な証明書を利用したサイトにSSL接続した場合に任意コード実行、サービス妨害を引き起こす脆弱性です。脆弱性のCVSS Exploitability Subscoreが10(最大)です。
パッチ提供PHP: 4.3/4.4/5.1/5.2
CVSS Severity (version 2.0):
CVSS v2 Base Score:7.5 (HIGH) (AV:N/AC:L/Au:N/C:P/I:P/A:P) (legend)
Impact Subscore: 6.4
Exploitability Subscore: 10.0
CVSS Version 2 Metrics:
Access Vector: Network exploitable
Access Complexity: Low
Authentication: Not required to exploit
Impact Type:Allows unauthorized disclosure of information; Allows unauthorized modification; Allows disruption of service
Fixed handling null bytes in subjectAltName (CVE-2013-4073).
CVE-2013-4073はRubyの脆弱性として報告されていますが、PHPのOpenSSLにも同じ脆弱性が存在しました。弊社ではこの脆弱性にいち早く対応しており既に修正済みでした。この脆弱性の修正は以前のパッチセットにCVE-2013-4248の修正として含まれています。
対応PHPバージョン:PHP 5.2
CVSS Severity (version 2.0):
CVSS v2 Base Score:6.8 (MEDIUM) (AV:N/AC:M/Au:N/C:P/I:P/A:P) (legend)
Impact Subscore: 6.4
Exploitability Subscore: 8.6
CVSS Version 2 Metrics:
Access Vector: Network exploitable
Authentication: Not required to exploitAccess Complexity: Medium
Impact Type:Allows unauthorized disclosure of information; Allows unauthorized modification; Allows disruption of service